編集部からのお知らせ
新着・電子インボイスの記事まとめ
記事まとめDL:オンライン確認「eKYC」

パスワードレスの最新動向、企業導入の可能性

金子春信 (アカマイ・テクノロジーズ)

2021-08-03 06:00

 脆弱なパスワードの利用はやめて、強固な認証方式に移行する「パスワードレス」が注目される。企業向けシステムでパスワードレスになる実例が出始めており、本稿ではこのトレンドの背景と基本的な技術について解説する。

クラウド化とアカウント乗っ取りの脅威

 企業のITセキュリティにおいて認証が再注目されている。まずその背景だが、多くの企業システムがクラウド化によって、社員が自社システムをインターネット越しに利用するようになってきている。従来の企業システムは、オンプレミスのサーバー上で稼働しており、自社のLANやVPNに接続しなければアクセスできなかった。だが、インターネット経由のSaaSなら、基本的にどこからでもアクセスできる(例外として送信元IPやHTTPヘッダーで制限をかけるなどの設定が可能な場合はある)。

 そこで、システムのセキュリティの要となるのがログイン認証だ。ログイン認証では、ITの黎明期から使われ続けているパスワードが主たる方式だが、パスワードの脆弱性が近年に改めて問題視されている。米Verizonが発行する「2021年度データ漏えい/侵害 調査報告書」によると、情報漏えいの61%が認証情報に関わるものだった。またSalesforce.comは、2022年2月1日から多要素認証を必須にすると発表している。

 パスワードが危険なことは、頻繁に報道されている。それにもかかわらず、なぜ広く使われているのか。それは開発者、利用者双方に利点があるからだ。パスワード認証は普及しているため、開発者が改めて設計開発するコストは極めて少ない。利用者側も使い慣れているので新たに覚える必要性が皆無に近い。1990年代にITが一般層へ普及して以降、長らく標準的な認証方式になっていると言えるだろう。だが、肝心のセキュリティ面で限界が見えている。以前から「辞書攻撃」(頻繁に使われるパスワードの文字列を使う方法)や「総当たり攻撃」(あらゆるパスワードの文字列を使う方法)と呼ばれるパスワードを突破する手法はあった。しかし昨今は、フィッシングのような人間をだましてパスワード情報を窃取する手法や、ダークウェブ(犯罪や不正行為に関連するウェブサイトやサービスの通称)のように盗まれたパスワードの流通経路が充実し、深刻な脅威と化している。

 また、1人が多数のシステムを利用することによるパスワード管理の負荷も馬鹿にならない。利用者は公私にまたがって何十、何百というシステムのログインなどで必要なパスワードを管理している。この規模だと、個々に異なるパスワードを設定したり、それを定期的に変更したりすることが困難になり、共通のパスワードをさまざまなところで再利用するというのは必然だろう。そうなると、一度どこかでアカウント情報が流出すれば、それが災いして、共通のパスワードを使っているウェブサイトやサービスは、全て侵害の脅威にさらされてしまう。

 ここまでを要約すると、以下の3つの要素によってパスワード認証の脆弱性が顕著になっていると言える。

  • クラウドの普及によるアカウント数増加
  • パスワード管理の面倒さ
  • フィッシング&ダークウェブによる盗難、流通リスクの増加

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]